暗号化しよう - Apache - OCSPステープル留め

tag-icon tag-icon ssl apache-virtualhost letsencrypt
暗号化しよう - Apache - OCSPステープル留め

活性化したいOCSPバインディング私のApacheサーバーから。私は以下を使用しています:

ファイルとして:

/etc/apache2/sites-available/default-ssl.conf

私は以下を追加しました:

SSLUseStapling on

次に編集します。

/etc/apache2/mods-available/ssl.conf

次の行を追加してください。

SSLStaplingCache shmcb:/tmp/stapling_cache(128000)

これは、OCSPステープル留めを有効にするのに十分であることを読みました。

構文を確認しました。

sudo apachectl -t

それは問題ではありません。

ただし、リロード後にApacheは起動しません。

編集1:

このガイドに従ってください

私のSSL仮想ホストファイルから:

/etc/apache2/sites-available/default-ssl.conf

私は、グループの下に次の行を追加しましたSSLCertificateFileSSLCertificateKeyFile

SSLUseStapling on
SSLStaplingReturnResponderErrors off
SSLStaplingResponderTimeout 5

その後、このファイルを編集しました。

/etc/apache2/mods-available/ssl.conf

次の行を追加してください。

SSLStaplingCache shmcb:${APACHE_RUN_DIR}/ssl_stapling_cache(128000)

これで問題なくApacheを再起動できますが、次の点でOCSPが機能しないようです。

openssl s_client -connect www.example.com:443 -servername www.example.com -status < /dev/null

OCSP response: no response sent

私が何か間違っているのですか?これは私のLet's Encrypt証明書に関連していますか?

ベストアンサー1

しばらく前にこの問題に直面していましたが、解決したようです。

$ openssl s_client -connect berb.ec:443 -servername berb.ec -status < /dev/null 2>&1 | grep "OCSP Response Status"
OCSP Response Status: successful (0x0)

SSLLabs同意:97.5%(LG携帯電話でパスワードを有効にする必要があります)

編集する:SSLLabsは同意します: 100%100%固定されています。愚かな電話と曲線サポート。

私の場合は、通常の行を使用しています。

SSLCertificateFile /etc/letsencrypt/live/berb.ec/cert.pem

fullchain.pemファイルに変更しましたが、すべてがうまくいきます。

SSLCertificateFile /etc/letsencrypt/live/berb.ec/fullchain.pem

または、VirtualHostファイルに行を追加することもできます。

SSLCACertificateFile /etc/letsencrypt/live/berb.ec/chain.pem

ここに私の完全な/etc/apache2/conf-enabled/ssl.confファイルがあります。 VirtualHostファイルの唯一のSSLエントリは、、SSLEngineSSLCertificateFileですSSLCertificateKeyFile

SSLProtocol             -all +TLSv1.2
SSLCipherSuite          ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384
SSLOpenSSLConfCmd       DHParameters    "/etc/apache2/dhparam4096.pem"
SSLOpenSSLConfCmd       ECDHParameters secp384r1
SSLOpenSSLConfCmd       Curves          secp521r1:secp384r1
SSLUseStapling          On
SSLStaplingCache        "shmcb:/logs/ssl_stapling(32768)"
SSLCompression off
SSLHonorCipherOrder on
Header always set X-Frame-Options SAMEORIGIN
Header always edit Set-Cookie (.*) "$1;HttpOnly;Secure"
Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure
Header always set X-Content-Type-Options nosniff
SSLOptions +StrictRequire

私はまだOCSP Must Stapleに取り組んでいます。

編集1:得るOCSPはステープル留めする必要があります。布材。これはcertbotクライアントのオプションです:

certbot --must-staple --rsa-key-size 4096

おすすめ記事